被喻为“疯狂法律”的萨班斯法案,犹如悬在中国“国际化”企业头上的达摩克利斯之剑。7月5日，中国第一家海外上市公司华晨中国汽车控股有限公司宣布，不堪萨班斯法案高昂的遵循成本，从美国纽约证券交易所退市
。在法规遵循的大趋势下，用IT系统帮助企业符合萨班斯法案的要求和在萨班斯法案中寻找IT的商机，是眼下业界热衷讨论的问题。



然而——



7月5日，中国第一家海外上市公司——华晨中国汽车控股有限公司从美国纽约证券交易所退市了！



一位在美国上市的中国公司的财务管理人员告诉记者，让华晨不堪重负的，正是为了遵循《萨班斯—奥克斯利法案》（简称萨班斯法案）而不得不向审计公司支付的巨额咨询、审计费用，以及高昂的内部遵循成本。与这笔支出相比，华晨在纽约交易所融到的资金却非常有限。



这边是退市，那边却是欢庆通过萨班斯法案。仅今年上半年，就先后有华能国际电力股份有限公司、中国网通集团(香港)有限公司、中国人寿保险股份有限公司、中国石油天然气股份有限公司等大型企业通过了萨班斯法案。



然而，同样是通过萨班斯法案，各公司不仅实施的成本不同，对IT手段的依赖程度也各不相同。有的企业除了已有的IT系统外，并没有为萨班斯法案采购新的IT设备，而是通过人工的手段完成控制点的文档收集和整理；有的企业则采用了一些基本的协同工具，分担一部分人力工作。



慧点科技商业流程与控制事业部总经理吴大军指出，如何利用IT系统来帮助企业符合萨班斯法案的要求，也正是企业头疼的问题。“第一年法规遵循的时候，首先解决的是从0到1的问题，企业为了通过萨班斯法，甚至直接让咨询公司采用手工的方式先把报告交出来。如今，企业已经有时间来思考，到底怎么利用IT工具提高效率。”这位人士表示。



渐显IT“智障”



缺乏内控的IT系统，是中国企业在遵循萨班斯法案过程中所遇到的最大挑战。中国企业IT系统重建设、轻维护的老传统，使得IT系统不能完整实现其管理功能，在业务与IT密不可分的趋势下，传统IT系统渐显“弱智”。



如果有人告诉你，中国企业在遵循萨班斯法案过程中，遇到最大的挑战是IT系统，你是否会非常惊讶？



2002 年7 月通过的萨班斯法案本意是促使在美国上市的公司通过加强内部控制，来改进自己的治理状况，提高治理水平，恢复投资者对美国资本市场的信心。一般来说，萨班斯法案会涉及公司层面、业务流程及IT管理3大方面。



“信息化投资占企业整体投资的比例越来越大，企业中越来越多的业务流程都建立在IT系统之上，管理业务就是管理IT，两者不可割裂。”ITGov中国IT治理研究中心专家孟秀转表示。但她同时指出，在任何一家公司里，财务控制都是管理的重头，相关的规章制度也非常严格，而IT内控更是很缺乏，面临的挑战也要大得多。



2005年初，在美国纽约证券交易所上市的中国人寿保险股份有限公司启动了萨班斯法案遵循工作。“当时的现状很不乐观。”中国人寿萨班斯法案404项目组的一位负责人这样评价。中国人寿2005年的年度报告显示，根据香港准则与美国公认会计准则统计的数字出现了重大差异，作为外审机构的普华道，也指出了中国人寿与信息系统相关联的实质性漏洞。



导致这个漏洞的主要原因，就是IT系统的集中管理程度不够。中国人寿信息技术部项目管理处的一位负责人解释说，这与中国人寿总部信息技术部一直立足于服务的角色定位有关，而按照萨班斯法案的要求，信息技术部更应侧重于管理，包括加大对分公司信息系统、系统建设、运维、数据等集中管理的力度，降低分散管理隐含的风险。



2005年，中国人寿制定了一份《信息技术管理制度》。“这是一件开历史先河的事情。”404项目组的负责人表示。以往，中国人寿并不是没有IT方面的制度，但是相关的制度很零散，如分别面向防火墙、IT采购、安全备份等方面的。而这套新制度涵盖了IT的各方面，梳理出了公司应该具备的流程和控制点。这个管理制度解决了管控范围、管控思路以及管控标准的问题，只要达到这些控制点，至少能保证不会出错。



“外审公司披露的漏洞对中国人寿的帮助还是很大的，我们试图从中理解外审做出这样评价的意图，从而分析外审会更注意哪些问题，这些经验也为公司2006年年报的顺利过关提供了经验。”该负责人表示。



当然，从理论上来说，全国数据大集中的实现是这个漏洞的终极解决方案。因为一旦大集中，公司总部就能从数据层面掌控所有资源，把管理风险从分散的地方完全集中到总部。据了解，中国人寿计划在全国建立南北两大数据中心，目前选址已经完成，正在进行前期筹备工作。



今年3月底通过萨班斯法案的中海油，同样面临着IT治理和IT控制这个新问题的挑战。“我们刚开始做萨班斯法案遵从的时候，并没有把IT当成非常复杂的工作，做了以后才发现，萨班斯对国企IT的管控架构产生了很大影响。”中国海洋石油有限公司萨班斯法案404实施项目组的一位负责人如是说。



让他印象最深的有一点：过去IT系统往往重建设、轻维护。过去员工使用IT系统的时候，往往认为，“谁建的系统谁负责”，而一些系统管理员拥有超乎一切的权限，成为IT系统里的“领导”；实际上，根据职责不相容的原则，IT系统的应用层和后台管理必须严格分开。



以前，中国人寿的IT人员较欠缺，尤其在分公司层面，往往会出现一个人兼数岗的情况，从开发、应用，到运维、硬件管理都要负责。根据萨班斯法案404内控的要求，数据库、操作系统可以是一个人负责，但是应用系统与数据库管理员这样的前台操作和后台管理一定不能是同一个人。否则应用系统维护人员修改数据时，又能从后台数据库的行为日志里清除数据，从而增加了很多风险。



搬走“绊脚石”



根据萨班斯法案的要求，参照COSO模型和COBIT框架进行整改，是在美上市企业无法回避的选择。中海油和中国人寿搬走“绊脚石”的方法不尽相同，但殊途同归，借助IT系统的强制性，来规范管理。



虽然萨班斯法案直指的是财务报告的真实、准确，但是很多公司的财务报告流程都是由IT系统驱动的。可以说，IT是保证财务报告内部控制的有效性的基础，IT的控制至关重要。



这也是很多在美上市公司根据萨班斯法案的要求进行整改时，参照COSO模型和COBIT框架的原因。参照COSO框架很好理解，因为它包括控制环境、风险评估、控制活动、信息交流、监督等5项要素，已经成为世界通用的内部控制权威文献。



而COBIT（Control Objectives for Information and related Technology，信息及相关技术的控制目标)很明显是一个IT治理的框架。问世11年的COBIT，从规划与组织、采集与实施、交付与支持、监控4个方面确定了34个处理过程以及318个详细控制目标，并能将IT流程、IT资源及信息与企业的策略与目标联系起来，在企业业务战略指导下，对信息及相关资源进行规划与处理。



我们从中可以看出，COSO与COBIT的映射关系。这些现成的流程和框架有助于中国公司初步梳理出流程，外审公司会帮助做一个控制矩阵。中国人寿把这个控制矩阵与公司的制度做了映射，明确指出一个控制点应该对应制度的哪些条款，并从2006年初开始在全国大力扩展。



中海油为了萨班斯法案的遵循工作，采用了IBM的WBCR系统。这个2005年开始建的系统，于去年7月通过验收。项目小组把它当做一个文档管理、数据管理、测试结果集中的平台，能够对一个项目组的工作起到协同的作用。“我们可以把控制、风险都放在同一个系统中，比如哪些控制点需要测试、什么时间测试的、测试的结果如何。否则，我们可能还在用EXCEL表格，那样至少需要1～2个人专门进行文档更新等工作。”其项目组的一位负责人表示。



目前中国人寿还没有进行额外的IT采购以应对萨班斯法案，但这并不表明中国人寿没有考虑这个问题。



“从2005年开始，我们就有了这样的想法，即最好是通过一个IT管理平台实现流程的自动化管理，覆盖发起、办理、审批、评估、定期抽样检查这样一个工单处理的全过程，这与纸质管理将完全是两个概念。”中国人寿404项目小组的某位负责人表示。这个自动化管理，被中国人寿称为ITI，也就是IT系统自己的信息化，已从今年开始正式启动。



当然，美国企业在IT采购上行动得更早，比如购买Movaris公司的Certainty法规遵从工具。AMR研究公司的分析师John Hagerty说，购买404条款法规遵从跟踪工具平均需要花费10万～15万美元。



那么，类似的IT工具和IT系统能够给企业带来什么好处呢？



首先，公司的管理将更加规范。一项管理的内容，从公司的总部传达到各省分公司，再到各地市级公司，最后落实到一个个具体的人，中间将跨越众多环节，也很容易发生管理的失效。采用信息系统则能把所有的管理都固化下来，如果下一级机构不按照这个流程去做，就没有办法进行下去。在IT系统的强制下，管理会更加规范。



其次，公司的效率将得到提高。“中国人寿全国35个省级分公司，加上总部一共是36个点，每个点需要2～3人。这些人需要检测每个控制点是否都具有支撑性文档、控制是否有效，一次管理层测试就要耗时2～4周。”中国人寿404小组的某位负责人表示。



如果没有IT工具做支撑，工作人员必须用手工翻阅的原始的纸质文档。上了信息系统之后，信息可以分门别类地在信息系统中管理起来，能够方便地查询和调用。企业还可以对不同人的权限加以区分，有效地提升企业的管理效率。



第三，有利于公司的整改。企业在遵循萨班斯法案的过程中，首先要将公司内部控制的现状和外审公司给出的目标进行对比，并从有问题的流程入手进行整改。然而，导致公司某个流程出现问题的原因有两方面，一是公司原来流程的设计有问题，二是员工的执行力过弱，导致控制结果没有达到预期。



在过去，一个问题从它发生的节点反馈到业务部门，至少需要一个月的时间，而采用信息系统以后，管理人员只要拥有权限，就能随时查看，到底是哪里出现了缺陷，并针对性地采取措施。



关键在“人”



遵循萨班斯法案的内控要求，即使采用了IT系统和IT工具，相关的文档、日志也在系统里保留下来，但最后还需要人去对这些信息进行深层次的挖掘。因此在企业内控的人、技术、流程3大因素中，核心因素在“人”。



“很多企业第一年做萨班斯，往往关注硬性指标，如定制度、买设备、定流程，甚至寄希望于一套设备帮忙固化流程。然而，如果人没有风险意识，这些东西都是白搭。”ITGov中国IT治理研究中心专家孟秀转说。



因此，她格外强调控制环境的重要性。中海油的思路与她的观点不谋而合。“其实404的实施标准并不是审计师来制定的，而是取决于公司管理层的认识。”中海油萨班斯法案404实施项目组的一位负责人说。比如一项工作应该由谁来审批，这些内容都是公司决定的，一般外审会给出建议，如果这么做，可能存在怎样的风险，但是最终对风险进行认定和分析的还是公司。



中国人寿萨班斯法案404项目组的某位负责人认为，萨班斯法案带来的最大改变，就是很多工作都需要审批。这使得以前那种以工作内容为中心的工作流程，变成了规范而一致的办公流程。以往，领导安排一项工作可能只需要口头通知或者EMAIL通知，如今却必须按照相关的流程，说明布置这项工作的理由，受理该工作者必须签字确认。



记者在采访过程中，深刻地感觉到萨班斯法案改变了公司员工遵守内控制度的态度。一位受访者要求记者的稿件发表之前，必须接受公司相关部门的确认，“这个流程是我们项目组提出来的，如果不这么做，就是在这个控制点上出现了内控失效。”



这也正是孟秀转反复强调的，“在企业内部控制中，在人、技术、流程三大因素中，人是最主要的因素。”即使采用了一些IT系统和IT工具，相关的文档、日志也在系统里保留下来了，最后还需要人去对这些信息进行深层次的挖掘，包括问题在哪里，是流程的问题还是执行的问题，这些都只有人才能判断。



专家们认为，遵循萨班斯法案的巨额资金投入中，比例最大的其实是支付给咨询公司和审计公司的费用，而不是IT投资和IT内控上的费用。在这些投入中，除了资金、人力成本外，还包括公司上上下下的工作人员为配合404项目的工作而付出的工时，这些潜在的成本会更大。



“其中一部分成本投入，如备份体系的建立、安全措施的整改、人员补充等，是有利于企业发展的，我们叫良性增长。但是还有一些属于现有工作外的额外工作，如整改、流程明确、管理层测试等带来的人员、成本投入，数量也相当大。”中国人寿404项目组的某位负责人表示。



而这部分不属于“良性增长”的成本投入，正成为很多公司抵触萨班斯法案的原因。在吸取了上市公司和审计公司的意见之后，今年上半年，美国证券交易委员会（SEC）通过了一份新的财务报告内部控制管理层评估指南，美国公众公司会计监督委员会（PCAOB）也通过了审计准则第五号，以替代原来的审计准则第二号文件。



这两个调整，也被业界认为是萨班斯法案的有利变化。具体来说，新的第五号准则要求审计师采用从上到下的、风险导向的方法，引导上市公司将精力集中于那些可能导致重大错报的领域。而新的评估指南则指出，审计师不一定需要对管理层内部控制评价程序的恰当性发表意见。



以往判断一个公司内控有效的前提，就是审计师通过管理层评估来判断这一公司的内控运作是否有效。如果管理层评估的结果不好，就算审计师没有发现问题，也要对此进行说明。在新规定的框架下，上市公司可以结合公司的业务采取更灵活的措施，把注意力集中于更重要的领域，而不是重形式、轻内容。



相比于第一年通过法案时的兴师动众，上市公司第二年的遵循工作将遵循减法的原则。“第一年不理解，什么都算控制点，会把自己累死的。第二年，公司就要学会对关键控制点和非关键控制点进行区分。”中国人寿404项目组的这位负责人总结说。可以想像，法规遵循工作将日益成为一项日常性的管理工作。 (ccw)